>_
Terminal
© 2026 Diego Soria Ruiz. All rights reserved.
guest@dsr: ~
guest@dsr:~$ ./welcome.sh
guest@dsr:~$ cat 2025-10-24-Dark OSINT 0b73b23650a6835580e98174182dbe38.md
Última modificación: 24-10-2025
Etiquetas: #CCN-CERT25

Dark OSINT

Author: https://jornadas.ccn-cert.cni.es/es/xixjornadas-programa-general/xix-jornadas-ccn-cert/ponente/jaime-esquivias Día : Día 1

Contexto general

Charla densa y práctica sobre cómo moverse de forma segura en la Dark Web, desde configurar Tor correctamente hasta montar tus propios servicios ocultos. El ponente cubre tanto conceptos de anonimización (VPN vs Tor, máquinas virtuales) como técnicas concretas de OSINT en dominios .onion. La idea es entender qué es posible hacer, cómo protegerte y qué errores no cometer si te vas a meter en investigaciones serias.

Conceptos clave

  • Regla de oro del OPSEC: Shut the fuck up. Si no hablas de lo que haces, nadie sabe lo que haces. Es lo más importante de toda la charla.
  • Tor vs VPN:
    • VPN: cifrado punto a punto, confías en UN proveedor que ve todo tu tráfico
    • Tor: enrutamiento por capas (3 saltos), distribuyes la confianza entre múltiples nodos voluntarios
    • Tor es más difícil de bloquear y más anónimo si se usa bien
    • Combinar ambos es debatible: depende de tu modelo de amenaza
  • Navegador Tor:
    • Basado en Firefox, trae protecciones anti-fingerprinting
    • La ventana NO se maximiza (el tamaño de pantalla es un vector de identificación)
    • Idioma en inglés por defecto para no destacar
    • Nivel de seguridad: Cambiar de "Standard" a "Safer" o "Safest" (bloquea JavaScript)
    • JavaScript es el mal: permite fingerprinting y ejecución de código malicioso
  • Máquinas virtuales para aislamiento:
    • Whonix: dos VMs (Gateway + Workstation), todo el tráfico forzado por Tor, sin leaks de DNS
    • Tails: sistema live en USB, amnésico (todo en RAM), ideal para operaciones que no dejan rastro
    • Usar VMs evita comprometer tu sistema principal
  • Sock puppets (marionetas):
    • Cuentas falsas NO ligadas a tu identidad real
    • Necesitas correo anónimo: servicios recomendados como Elude, Onion Mail (muchos caen y cambian)
    • Nunca uses tu nick habitual o correo personal (caso Silk Road: pillaron a Ross Ulbricht por usar su nick)

Desarrollo técnico

Verificar conexiones a través de Tor:

Puedes tunelizar otras herramientas (no solo el navegador) usando torsocks o proxychains:

torsocks curl http://example.com

Esto lanza peticiones HTTP a través de la red Tor (proxy local en 127.0.0.1:9050 por defecto). Útil para analizar dominios .onion con herramientas de línea de comandos.

Crear tu propio servicio Tor:

Editar /etc/tor/torrc:

HiddenServiceDir /var/lib/tor/hidden_service/
HiddenServicePort 80 127.0.0.1:8000

Esto crea un dominio .onion que redirige al puerto 8000 local. En HiddenServiceDir se genera el hostname (tu dirección .onion). Útil para pruebas o para clonar sitios (ver técnicas avanzadas).

Crawlers para recopilar URLs .onion:

El ponente tiene scripts propios en Python que parsean dominios .onion y extraen:

  • Enlaces a otros .onions
  • Emails
  • Links a clearnet
  • Metadatos

Output en JSON para fácil parsing con jq o similar. Ejemplo de uso:

cat output.json | jq '.links[]'

Herramientas y comandos mencionados

  • Tor Browser → Navegador con protecciones anti-fingerprinting integradas
  • Whonix → Doble VM (Gateway + Workstation) para anonimato robusto
  • Tails → Sistema live USB amnésico, ideal para no dejar rastro
  • Gestores de contraseñas: KeePassXC, Bitwarden (offline) → bases de datos cifradas locales
  • Ahmia → Buscador de contenido en Tor (clearnet + .onion)
  • OnionTree → Recopilación de URLs .onion organizadas por categorías
  • DeepDark CTI → Listas de foros y marketplaces (ojo: los dominios cambian rápido)
  • What's My Name / Sherlock → Buscar nicks en múltiples plataformas (útil para OSINT)
  • ZAP / Burp Suite → Proxies web para analizar tráfico .onion (configurar con proxy Tor)
  • BeEF → Framework para secuestrar navegadores vía JavaScript (técnica avanzada)
  • torsocks / proxychains → Tunelizar herramientas por Tor
  • Shodan / Censys → Escaneo de IPs para intentar desanonimizar servicios .onion (buscar leaks en headers)

Términos técnicos importantes

  • Fingerprinting: Técnicas para identificar de forma única un navegador/usuario (tamaño pantalla, Canvas, JavaScript)
  • Clearnet: Internet "normal" (fuera de Tor)
  • Nodos de entrada/salida: El primer y último salto en el circuito Tor (si controlas ambos, puedes desanonimizar)
  • .onion: Dominios de servicios ocultos en Tor (no registrados, generados criptográficamente)
  • Leak de DNS: Cuando tu IP real se filtra por peticiones DNS fuera de Tor

Conclusiones

  • OPSEC es lo primero: Usa máquinas virtuales, nunca mezcles identidades, y cállate la boca.
  • Tor es legal y legítimo (Art. 18.3 Constitución Española protege el secreto de las comunicaciones). Usarlo no es ilegal, pero hay que saber qué haces.
  • La Dark Web no es un sitio mágico: son páginas web normales, con fallos de seguridad normales. Se puede hacer análisis OSINT igual que en clearnet.
  • Los dominios .onion cambian constantemente (se caen, se levantan con otra dirección). Mantener listas actualizadas es un trabajo continuo.
  • JavaScript es el enemigo: Desactívalo siempre en Safest mode. Si un sitio .onion te pide activarlo, sospecha.
  • Técnicas avanzadas (clonar sitios, inyectar código, ser operador de nodo de salida) son para fuerzas de seguridad o investigadores con recursos. No es para jugar.

Para investigar más

  • Configurar Whonix en VirtualBox y probar el modo live
  • Crawlers propios: buscar repos del ponente (probablemente en GitHub, menciona Twitter)
  • Diferencias entre I2P, Lokinet y Tor (redes P2P anónimas)
  • Cómo funciona BeEF y secuestro de navegadores
  • Análisis de metadatos en documentos (EXIF, propiedades de archivos)
  • Caso Silk Road: errores de OPSEC de Ross Ulbricht

<< cd ..

>_